Metasploit kiadta az IE támadást, de nem megbízható

A kód kihasználja az Internet Explorer hibáját, amelyet múlt pénteken jelentettek be egy a Bugtraq levelezőlistára kiküldött bizonyítás-koncepció támadás. Ez az első kód megbízhatatlan volt, de a biztonsági szakértők aggódtak, hogy valaki hamarosan kidolgoz egy jobb verziót, amelyet a számítógépes bűnözők elfogadnak.

Az eredeti támadás "heap-spray" technikát használ az IE sebezhetőségének kihasználására. Egy darabig szerdán azonban úgy tűnt, mintha a Metasploit csapata megbízhatóbb kihasználást adott volna ki.

[További olvasnivalók: Hogyan távolítsunk el rosszindulatú programokat Windows PC-jünkről]

A hibát kihasználva más technikát használtak a kutatók pedig Alexander Sotirov és Marc Dowd kutatói voltak, de Metasploit végül megszorította a kódját.

"A hiba megbízhatatlan," mondta a HD Moore, a Metasploit fejlesztője. A Metasploit kód két módon próbálta kihasználni a hibát, amelyek közül az egyik "problematikus", a másik pedig a heap-spray technika volt, amely már nem volt hatékony.

A Microsoft szerdán délután e-mailben értesítette "jelenleg nem ismeri a vad típusú támadások használatát a kizsákmányoló kód vagy az ügyféllel szemben."

Ez jó hír az IE felhasználók számára, mivel egy megbízható támadás sok emberre kihatna. A böngésző két változatát, amelyek sérülékenyek az IE 6 és az IE 7 használatával, a webes szurkolók mintegy 40 százaléka használja.

A vállalat biztonsági tanácsadást adott ki, amely kerülő megoldásokat kínál a hiba elleni védekezéshez. A Microsoft szerint az újabb IE 8 böngészőt nem érinti.

A hiba abban rejlik, hogy az IE megkeresi a CSS objektumokat, amelyek a szabványos elrendezés létrehozását szolgálják a weblapokon. Érintett IE felhasználók frissíthetik böngészőjüket, vagy letilthatják a JavaScriptet a támadás elkerülésére.